By | 7 آبان 1403
0 Comment
بدافزار Pikabot

بدافزار Pikabot یک Malware با لودر پیچیده است که از روش‌های توزیع مختلف برای نفوذ به سیستم‌ها استفاده می کند. هدف بدافزار Pikabot دسترسی غیرمجاز و از راه دور و اجرای دستورات دلخواه از طریق سرور فرمان و کنترل (C&C) آن است.

بدافزار Pikabot

روش های توزیع بدافزار Pikabot

 تبلیغات مخرب: از طریق تبلیغات مخرب یا نرم افزارهایی مانند AnyDesk و با استفاده از malspam توزیع می شوند. این بدافزار از طریق ایمیل نیز توزیع می شود. کدهای مخرب خود را وارد محتوای ایمیل می کند تا بدافزار را از طریق پیوست‌ها یا لینک ها توزیع کند.

 پی‌دی‌اف‌ها و فایل‌های نصبی ویندوز: از طریق فایل های PDF نیز توزیع می شود. روشی برای اینکه کاربران را فریب دهد تا فایل‌های مخرب را دانلود کند. از طریق فایل‌های نصبی ویندوز (.msi) که شامل فایل بدافزار است نیز منتشر می شود.

ایمیل‌های فیشینگ و فایل‌های HTA: از ایمیل‌های فیشینگ بهمراه کد HTML و فایل‌های HTA استفاده می‌کند و فایل را در قالب‌های مختلف تحویل می‌دهد.

بدافزار Pikabot

دامنه های مخربی مانند anadesky[.]ovmv[.]net و  cxtensones[.]topبه همراه URL های Dropbox  که فایل های نصب کننده را میزبانی می کنند نقش مهمی در توزیع و اجرای بدافزار دارند.

Domains:

  • brookselectrics[.]com
  • gardenplaid[.]com
  • gibbselectrics[.]com
  • gloverstech[.]com
  • investechnical[.]com
  • keywordslive[.]com

IP Addresses:

  • 103[.]82[.]243[.]5
  • 104[.]129[.]55[.]103
  • 104[.]129[.]55[.]104
  • 104[.]129[.]55[.]105
  • 104[.]129[.]55[.]106
  • 104[.]156[.]233[.]235
  • 108[.]61[.]78[.]17
  • 109[.]123[.]227[.]104
  • 131[.]153[.]231[.]178
  • 139[.]84[.]237[.]229
  • 154[.]201[.]81[.]8
  • 155[.]138[.]147[.]62
  • 158[.]220[.]80[.]157
  • 158[.]220[.]80[.]167
  • 172[.]232[.]162[.]97
  • 172[.]232[.]189[.]10
  • 172[.]232[.]189[.]219
  • 178[.]18[.]246[.]136
  • 192[.]248[.]174[.]52
  • 198[.]44[.]187[.]12
  • 23[.]226[.]138[.]143
  • 23[.]226[.]138[.]161
  • 37[.]60[.]242[.]85
  • 37[.]60[.]242[.]86
  • 43[.]229[.]78[.]74
  • 45[.]32[.]21[.]184
  • 45[.]32[.]248[.]100
  • 45[.]76[.]251[.]190
  • 65[.]20[.]66[.]218
  • 78[.]47[.]233[.]121
  • 85[.]239[.]243[.]155
  • 86[.]38[.]225[.]105
  • 86[.]38[.]225[.]106
  • 86[.]38[.]225[.]108
  • 86[.]38[.]225[.]109
  • 95[.]179[.]135[.]3
  • 95[.]179[.]191[.]137

URLs:

  • hxxps://allstocksinc[.]com/YDr/1337[.]dat
  • hxxps://berringtonnews[.]com/0bvKZ/0[.]16410464051883017[.]dat
  • hxxps://finderunion[.]com/CVv/0[.]7619553765651503[.]dat
  • hxxps://gloverstech[.]com/tJWz9/
  • hxxps://muellerinfo[.]com/vnO/1337[.]dat
  • hxxps://musicclubcompany[.]com/zmd/0[.]015044926305028627[.]dat
  • hxxps://professionalficars[.]com/t6F5Gi/1337[.]dat
  • hxxps://toptrinityblog[.]com/VUIhcGp/1337[.]dat
  • hxxps://wealthygradi[.]com/tS5/1337[.]dat

بدافزار Pikabot

تشخیص زبان

همانند نسخه های قبلی، اگر زبان سیستم عامل یکی از موارد زیر باشد، Pikabot اجرا را متوقف می کند:

 * روسی (روسیه)

 * اوکراینی (اوکراین)

این احتمالاً نشانه‌ای از این است که عوامل پشت Pikabot روسی زبان هستند و ممکن است در اوکراین و یا روسیه زندگی کنند.

ارتباطات شبکه

Pikabot برای درخواست و دریافت دستورات شبکه با سرور فرمان و کنترل تماس می گیرد. در این نسخه، پروتکل شبکه به طور قابل توجهی تغییر کرده است. Pikabot با ثبت هاست در معرض خطر در سرور خود شروع می کند.

ابتدا Pikabot اطلاعاتی را از میزبان در معرض خطر جمع آوری می کند، مانند:

  •  تنظیمات صفحه نمایش
  •  نسخه ویندوز مورد استفاده
  •  نام میزبان/نام کاربری و حجم سیستم عامل
  •  تنظیمات Beacon و Delay
  •  اطلاعات فرآیند مانند شناسه فرآیند، شناسه فرآیند والد و تعداد رشته ها
  •  نسخه ربات و نام آن
  •  نام کنترل کننده دامنه

سپس Pikabot اطلاعات زیر را به بسته ثبت نام اضافه می کند:

  •  کلید RC4 شبکه 32 بایتی که برای هر میزبان منحصر به فرد است.
  •  نام کلید رجیستری ناشناس

در مرحله بعد، Pikabot داده ها را با استفاده از الگوریتم RC4 رمزگذاری می کند و مجدد خروجی رمزگذاری شده را رمزگذاری می کند، یک URI تصادفی را از لیست خود انتخاب می کند و داده ها را با یک درخواست POST به سرور فرمان و کنترل ارسال می کند.

رمزگذاری شامل تعویض بایت ها برای N بار است که در آن N عددی است که به طور تصادفی در محدوده 0-25 ایجاد می شود. اگر ثبت ربات با موفقیت انجام شود، Pikabot یک حلقه بی نهایت برای درخواست و اجرای دستورات راه اندازی می کند.

استراتژی های کاهش آلودگی و حفاظت

برای دفاع در برابر بدافزار Pikabot و تهدیدات مشابه توصیه می شود:

1.دامنه های مخرب شناسایی شود و آدرس های IP مرتبط با Pikabot را در محیط شبکه مسدود کنید.

2.قوانین سختگیرانه ای برای فیلترینگ ایمیل شامل شناسایی و قرنطینه فیشینگ و پیوست های مشکوک ایمیل اجرا کنید.

3.به کاربران در مورد خطرات باز کردن پیوست‌ها یا کلیک کردن بر روی لینک ها از منابع ناشناخته یا نامعتبر، به ویژه در ایمیل‌های ناخواسته، آموزش دهید.

4.تمام سیستم ها و نرم افزارها را به روز نگه دارید تا در برابر آسیب پذیری های شناخته شده ای که ممکن است توسط بدافزار مورد سوء استفاده قرار گیرند، محافظت شود.

5.اجرای پروتکل های امنیتی جامع و لازم، گامی حیاتی در کاهش تأثیر چنین بدافزارهای پیچیده ای است.

6.مدیران ارشد امنیت اطلاعات هوشیاری مستمر و پایدار داشته باشند و بر اقدامات امنیتی و تطبیقی ​​تاکید کنند. همچنین بر مدیران امنیت در این سطح واجب و ضروری است که در زمان مقتضی اقدامات تنبیهی لازم را برای کارکنانی که در انجام وظایف امنیتی خود اهمال می کنند در نظر بگیرند.

7.به هیچ کس اعتماد نکنید!

 

 

 

 

منابع:

Cybersecsentinel

Thehackernews

Malwarebytes

Zscaler

Threatdown

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *